黑VPN服务商“兵马俑”分析

6 min


来源:《兵马俑VPN》,演讲者:RSA威胁情报分析

黑VPN服务商“兵马俑”分析 (1)

0×01什么是兵马俑VPN

VPN的基础设施和服务面向中国大陆消费者,使用场景:游戏加速,翻墙,用户匿名访问等等。而“兵马俑VPN”的特殊之处是,它通过入侵漏洞服务器获得世界各地的网络结点。 “兵马俑”是中国的一个VPN服务商,在全球有1500多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些VPN节点大多是由被黑客入侵的Windows服务器搭建而成。这些服务器的主人大多是2SA研究员还惊奇的发现,某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。

2013年美国劳工部入侵事件就和深渊熊猫有关。

详细,RSA在今年的Black Hat大会上发布了议题 没有证据说明兵马俑归属于某个APT组织运作,然而,兵马俑是一个商业服务在中国有很多品牌。类似的服务网上有很多,普遍价格低廉。议题的发布也许会刺激一些利用兵马俑的攻击组织改变策略

*** 墙遁所有服务器全部为自用机房服务器 ***

0×02兵马俑如何被发现的

在Derusbi木马的服务器后门(Shell — — Crew一直利用着Derusbi木马家族在企业网络中建立后门) 经ram dump 确认找到了Shell_Crew/Axiom 在敏感目标服务器上的后门,Derusbi服务器装载了一个携带防火墙钩取的客户驱动,允许监听任意端口,和其他的相同端口网络服务共存(例如80端口)

0×03目标web服务器

观察使用者从合法机构(不是中国)控制后门,观察了几个月后 显然,兵马俑从某种程度上来讲很成功,看起来是合法的用户合法的遍历了网络,这种结合的手法更增加了APT组织的迷惑性。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

这些合法的orgs的共同点:

全是Windows 服务器 安装了Windows RRAS 特性,利用网络策略认证抵御中国的RADIUS服务器 VPN账户包括VPN的品牌名 泄漏了兵马俑VPN的品牌 允许列出详细结点 牵连到更多的受害者

*** 墙遁所有服务器均为Linux系统,并不存储任何用户数据,加密所有连接 ***

0×04兵马俑征召的服务器

黑VPN服务商“兵马俑”分析 (2)

0×05一个兵马俑VPN结点月统计数据

新的成功连接 118948 新的客户端IPPP地址 9053 中国大陆客户端IP地址 8903(98%) 新的客户端账户名 723(大多数连接用的试用账户) 新的客户主机名 3640

0×06兵马俑的VIP用户们

VPN日志显示出了一个通用账户,兵马俑客户端不需要的

Wang Jia “testwj”是其中之一,入侵成功后总是第一个登录,专用于测试受害服务器的配置。

一些其他的VIP账户像“dgweikunping”则因为一直通过家中同一台电脑名登录而泄漏了他们的地理位址,通常是通过VPN链登录。

0×07招募兵马俑结点过程

招募VPN新结点的过程看起来没有任何的花费,这样扩张的结果就是方便了APT组织们

调查研究发现,攻击者发现目标windows服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭windows防火墙。接下来 攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装VPN服务。

受害者Windows服务器通常都将TCP的135或3389端口暴露在网络中

兵马俑会瞄准有漏洞的Windows服务器,因为这个平台的VPN服务几分钟就能配置好。

0×08兵马俑VPN的工作流程

用户浏览兵马俑网站-下载客户端注册帐户-用户客户端软件认证 — 软件上传结点信息 — 用户选择VPN结点,云端取回编码的凭证,初始化连接 — VPN结点认证用户 — 通道建立

15日中国关停了很多VPN,但兵马俑还安然无恙。

0×09所有的VPN都在中国封锁了吗?

企业专属的VPN没有封锁

公开的VPN协议被封锁了 (#######openvpn############)

Windows 上创建VPN的协议普遍没有封锁 — — PPTP 点对点隧道协议 — — L2TP 双层隧道协议 — — SSTP 安全套接字隧道协议

0x0A新的发现

默认情况,所有的Windows VPN协议使用MS-CHAPv2认证,但是太多例子表明它们实在不安全

关于MS-CHAPv2安全性的分析

https://www.docin.com/p-382315274.html

但是事情更加的糟糕

潜在的监听者对兵马俑甚至都不用破译。RSA研究证实兵马俑结点明文传输用户凭证。


Originally published at www.dun.im on November 25, 2015.


What's Your Reaction?

喜欢 喜欢
0
喜欢
不喜欢 不喜欢
0
不喜欢
路过 路过
0
路过
安排了 安排了
0
安排了
厉害了 厉害了
0
厉害了
Diss Diss
0
Diss
怕不怕 怕不怕
0
怕不怕
不可描述 不可描述
0
不可描述
wtf wtf
0
wtf
Choose A Format
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Open List
Submit your own item and vote up for the best submission
Video
Youtube, Vimeo or Vine Embeds